我已经使用Windows Server 2008 R2创build了一个两层的CA. 用于创build此独立根和企业子CA的.inf文件位于本文末尾。
根安装好,并向SubCA颁发证书。 SubCA会自动向域控制器颁发证书。
我的PKI健康是绿色的,所有链条都有效,CRL发布。
但是,当我尝试为我的Exchange服务器注册SAN证书时,请求不被接受。 事实上,根本没有错误信息。 我正在关注( http://exchangeserverpro.com/how-to-issue-a-san-certificate-to-exchange-server-2010-from-a-private-certificate-authority)[ “如何颁发SAN证书从一个私人证书颁发机构到Exchange 2010],总之:
在Exchange命令行pipe理程序中: New-ExchangeCertificate -FriendlyName "Exchange 2010 Certificate" -IncludeServerFQDN -DomainName mail.mydomain.net,autodiscover.mydomain.net,webmail.mydomain.net -GenerateRequest -PrivateKeyExportable $true
我去我的分CAnetworking证书服务http://subca/certsvc
申请一个证书
提交高级证书请求
通过使用Base-64编码的CMC或PKCS#10文件提交证书请求
将步骤1中的请求粘贴到保存的请求框中
select证书typesWeb服务器
点击提交
没有什么…页面刷新,再次显示相同的页面。 页面或日志中没有错误,并且未提交请求。
我已经尝试通过certsrv MMC提交cer文件到下级CA,我右键单击CA – >所有任务 – >提交新的请求 – >selectcer文件,并点击确定。 没有任何事情发生,没有错误,没有待处理的请求,日志里什么都没有,什么都没有。
; CAPolicy.inf example file for the Root CA [Version] Signature= "$Windows NT$" RenewalKeyLength=2048 RenewalValidityPeriod=Years RenewalValidityPeriodUnits=20 CRLPeriod = Years CRLPeriodUnits = 1 CRLDeltaPeriod = Days CRLDeltaPeriodUnits = 0 AlternateSignatureAlgorithm=1 [CRLDistributionPoint] Empty=true [AuthorityInformationAccess] Empty=true ; CApolicy.inf file for the Issuing CA [Version] Signature= "$Windows NT$" [Certsrv_Server] RenewalKeyLength=2048 RenewalValidityPeriod=Years RenewalValidityPeriodUnits=10 CRLPeriod=Weeks CRLPeriodUnits=1 CRLDeltaPeriod=Days CRLDeltaPeriodUnits=1 CRLOverlapPeriod=Days CRLOverlapUnits=2 ValidityPeriod=Years ValidityPeriodUnits=2 AlternateSignatureAlgorithm=1
find更多信息后,我能够解决此问题您无法将由Exchangepipe理控制台(EMC)或Exchange命令行pipe理程序(EMS)生成的证书请求提交给Microsoft证书服务
总之,这是因为证书请求被存储为Unicode编码,Microsoft证书服务不支持Unicode编码的文件。
解决的办法是在记事本中打开请求文件并保存,这次用ANSI编码作为一个新文件。 重新提交这个ANSI编码文件到CA是工作和证书颁发。